Im vergangenen Jahr sorgte die Pegasus-Spyware für eine Menge Schlagzeilen. Eingesetzt von verschiedenen Regierungen und Behörden war es mit ihr möglich, Schwachstellen in Apple Music und iMessage auszunutzen, um sich hierdurch Fernzugriff auf ein angegriffenes iPhone zu verschaffen, was offenbar auch durchaus großflächig geschehen ist. Ende des Jahres hat Apple dann in einer Pressemitteilung bekanntgegeben, dass man die israelische NSO Group, die die Pegasus-Software entwickelt hat und auch vertreibt, verklagt hat, um sie für die Überwachung von und den gezielten Angriff auf Apple Nutzer zur Verantwortung zu ziehen. Neben der Klage gegen die NSO Group beantragt Apple außerdem eine dauerhafte Verfügung, die dem israelischen Unternehmen die künftige Nutzung jeglicher Software, Services oder Geräte von Apple untersagt.

Nun berichtet Reuters aktuell, dass Pegasus auch zum Ausspionieren von Abgeordneten der EU eingesetzt worden sei. Betroffen soll unter anderem auch der belgische EU-Kommissar für Justiz und Verbraucher, Didier Reynders, gewesen sein. Dieser sei entsprechend der Ankündigung des Unternehmens aus dem vergangenen Jahr von Apple über den Vorfall informiert worden sein. Mindestens vier weitere Offizielle sollen von dem Spionage-Angriff betroffen gewesen sein. Unklar ist derzeit noch, was genau das Ziel des Angriffs war und welche Informationen abgegriffen wurden.

In den USA wurde die Nutzung von Pegasus bereits offiziell verboten. Nach dem nun bekannt gewordenen Vorfall dürfte die EU vermutlich ähnliche Schritte in die Wege leiten.

Die Pegasus-Spyware hat in den vergangenen Monaten eine Menge Schlagzeilen produziert. Eingesetzt von verschiedenen Regierungen und Behörden war es mit ihr möglich, Schwachstellen in Apple Music und iMessage auszunutzen, um sich hierdurch Fernzugriff auf ein angegriffenes iPhone zu verschaffen, was offenbar auch durchaus großflächig geschehen ist. Vergangenen Monat hat Apple dann in einer Pressemitteilung bekanntgegeben, dass man die israelische NSO Group, die die Pegasus-Software entwickelt hat und auch vertreibt, verklagt hat, um sie für die Überwachung von und den gezielten Angriff auf Apple Nutzer zur Verantwortung zu ziehen. Neben der Klage gegen die NSO Group beantragt Apple außerdem eine dauerhafte Verfügung, die dem israelischen Unternehmen die künftige Nutzung jeglicher Software, Services oder Geräte von Apple untersagt.

Nun berichtet Bloomberg, dass man sich bei der NSO Group offenbar von Pegasus trennen will. Als Grund werden unter anderem die Klage von Apple, aber auch der zunehmende öffentliche Druck angeführt. Auch das US-Handelsministeriums hat NSO kürzlich auf die schwarze Liste von Unternehmen gesetzt, mit denen US-Unternehmen keine Geschäfte machen dürfen. Dies hat inzwischen wohl zu größeren finanziellen Schwierigkeiten bei der NSO Group geführt, weswegen man nun dringend auf der Suche nach Geldgebern ist.

In diesem Zusammenhang sollen nun zwei amerikanische Fonds in die Bresche springen, die um die 200 Millionen Dollar in das Unternehmen pumpen sollen, um die Pegasus-Abteilung zu übernehmen und anschließend dicht zu machen. Das frische Geld soll dann dazu genutzt werden, um neue Software zu entwickeln, die dann nicht dazu dienen soll, Smartphones anzugreifen, sondern diese zu schützen. Allerdings berichtet TNW hierzu bereits, dass es zu diesen Plänen bereits eine Menge Skepsis gebe. Unter anderem erklärt Ronald Deibert, seines Zeichens Chef der kanasischen Sicherheitsforscher von Citizen Labs, dass man der NSO Group nach den gemachten Erfahrungen grundsätzlich nicht trauen sollte und es sich auch um ein einfaches Rebranding der pegasus-Software handeln könnte:

"Warning: don’t believe the hype about “defensive” products. Who’d trust that company with defence? Watch out for corporate rebranding too."

Die Log4Shell-Sicherheitslücke hält seit einigen Tagen Administratoren auf der ganzen Welt in Atem und man kann wohl ohne zu übertreiben behaupten, dass es sich um eine der größten Angriffspunkte der vergangenen Jahre handelt. So gut wie alle großen und kleinen Internetangebote nutzen die angegriffene Java-Bibliothek Log4j, die von Hackern genutzt werden, um beliebigen Code auf dem angegriffenen Server auszuführen. Neben Servern von unter anderem Twitter, Steam, Amazon und vielen kleineren Diensten gilt dies auch für die iCloud-Server von Apple. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte seine Warnstufe für die genannte Sicherheitslücke bereits am Wochenende von Orange auf Rot hochgesetzt und auch das CERT der Deutschen Telekom berichtet von beobachteten Angriffen.

Wenn schon die regulären Nachrichtenkanäle über eine aktuelle Sicherheitslücke in einer vielgenutzten Server-Software berichten, scheint das Problem so gorß zu sein, dass es die breite Mehrheit interessieren könnte. Und in der Tat ist die nun entdeckte Zero-Day-Sicherheitslücke namens Log4Shell als durchaus kritisch zu bezeichnen. Sie steckt in der verbreiteten Java-Bibliothek Log4j, die auch auf vielen wichtigen Servern im Internet genutzt wird und kann von Angreifern genutzt werden, um beliebigen Code auf dem angegriffenen Server auszuführen. Offenbar sind neben Servern von unter anderem Twitter, Steam, Amazon und vielen kleineren Diensten auch die iCloud-Server von Apple. Die schlechte Nachricht: Offenbar sind erste Angriffe bereits durchgeführt worden. Die gute Nachricht: Inzwischen steht ein Update für die Bibliothek bereit, die die ausgenutzte Sicherheitslücke stopft.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits gestern die Warnstufe für die genannte Sicherheitslücke von Orange auf Rot hochgesetzt und auch das CERT der Deutschen Telekom berichtet von beobachteten Angriffen.

??????New #0-day vulnerability tracked under "Log4Shell" and CVE-2021-44228 discovered in Apache Log4j ??????? We are observing attacks in our honeypot infrastructure coming from the TOR network. Find Mitigation instructions here: https://t.co/tUKJSn8RPF pic.twitter.com/WkAn911rZX

— Deutsche Telekom CERT (@DTCERT) December 10, 2021

Von Apple gibt es bislang noch kein Statement zu der Sicherheitslücke. Man kann allerdings davon ausgehen, dass nicht nur in Cupertino bereits kräftig hinter den Kulissen gewerkelt wird, um die Gefahr einzudämmen. Server-Administratoren, die Log4j einsetzen, sollten in jedem Fall schnellstmöglich auf Version Version 2.15.0 updaten.

Gestern hatte Apple bekanntgegeben, dass man die für die Entwicklung der Pegasus-Spyware verantwortliche NSO Group verklagt habe, da sich der Angriff gegen iPhone-Nutzer richtete und deren Sicherheit gefährde. Im Rahmen dieser Bekanntmachung kündigte Apple auch an, dass man Nutzer, die von einem solchen Angriff betroffen sind, hierüber informieren würde, ohne zu erklären, wie dies geschehen würde. In der gestern erschienenen Pressemitteilung erklärte Apple lediglich: "Apple benachrichtigt die geringe Anzahl von Nutzern, die, wie man festgestellt hat, möglicherweise von FORCEDENTRY betroffen sind. Jedes Mal, wenn Apple Aktivitäten feststellt, die auf einen staatlich geförderten Spionageangriff hindeuten, wird Apple betroffene Nutzer gemäß den branchenbesten Verfahren benachrichtigen." Auch diesen Punkt hat man nun jedoch über die Veröffentlichung eines neuen Support Dokuments aufgeklärt.

Apple weist darauf hin, dass man die Nutzer niemals dazu auffordern wird, Apps herunterzuladen oder Links in Mails oder iMessages anzuklicken. Aus diesem Grunde sollten sich Nutzer, die eine entsprechende Benachrichtigung erhalten, mit ihrer Apple ID auf dem Webportal anmelden, um dort zu überprüfen, ob diese Benachrichtigung tatsächlich von Apple stammt.

Zudem gibt Apple zu bedenken, dass es aufgrund der Komplexität der Situation auch Falschmeldungen geben könne und manche Angriffe auch nicht entdeckt werden. Man werde jedoch weiter mit Hochdruck daran arbeiten, die eigenen Abwehr- und Erkennungsmaßnahmen zu verbessern, um die Sicherheit seiner Nutzer zu gewährleisten.

Unabhängig davon, ob man von einem Pegasus-Angriff betroffen ist, empfiehlt Apple allen Nutzern die folgenden Maßnahmen, um ihre Geräte vor einem Spyware-Angriff zu schützen.

• Stets die aktuellste iOS-Version nutzen.
• Das Gerät mit einer PIN schützen.
• Ein starkes Passwort und die Zwei-Faktor-Authentifizierung für die Apple ID? verwenden.
• Apps ausschließlich aus dem AppStore installieren.
• Auch bei Onlinediensten starke und individuelle Passwörter verwenden.
• Nicht auf Links oder Anhänge in E-Mails von unbekannten Absendern klicken.

Die Pegasus-Spyware hat in den vergangenen Monaten eine Menge Schlagzeilen produziert. Eingesetzt von verschiedenen Regierungen und Behörden war es mit ihr möglich, Schwachstellen in Apple Music und iMessage auszunutzen, um sich hierdurch Fernzugriff auf ein angegriffenes iPhone zu verschaffen, was offenbar auch durchaus großflächig geschehen ist. Heute nun hat Apple in einer Pressemitteilung bekanntgegeben, dass man die israelische NSO Group, die die Pegasus-Software entwickelt hat und auch vertreibt, verklagt hat, um sie für die Überwachung von und den gezielten Angriff auf Apple Nutzer zur Verantwortung zu ziehen.

Neben der Klage gegen die NSO Group beantragt Apple außerdem eine dauerhafte Verfügung, die dem israelischen Unternehmen die künftige Nutzung jeglicher Software, Services oder Geräte von Apple untersagt. Apples Software-Chef Craig Federighi erklärt dazu:

"Staatlich geförderte Akteure wie die NSO Group geben Millionen von US-Dollar für ausgeklügelte Überwachungstechnologien aus, ohne dass eine wirksame Rechenschaftspflicht besteht. Das muss sich ändern. Apple-Geräte sind die sicherste Consumer-Hardware auf dem Markt – aber private Unternehmen, die staatlich geförderte Spionagesoftware entwickeln, sind noch gefährlicher geworden. Obwohl diese Bedrohungen der Cybersicherheit nur eine sehr geringe Anzahl unserer Kunden betreffen, nehmen wir jeden Angriff auf unsere Anwender sehr ernst und arbeiten kontinuierlich daran, die Maßnahmen zum Datenschutz und der Privatsphäre in iOS zu verbessern, um alle unsere Nutzer zu schützen."

Apple hatte bereits mit den iOS-Versionen 14.6 und 14.8 Maßnahmen gegen Pegasus eingeführt und die ausgenutzten Sicherheitslücken gestopft. So wurde beispielsweise mit iOS 14.8 die FORCEDENTRY-Lücke gestopft, über die die Spyware per iMessage auf das iPhone geladen werden konnte, um dort Zugriff auf die Kamera, das Mikrofon, Textnachrichten, E-Mails, Telefongespräche und weitere Inhalte zu ermöglichen. Auch das deutsche BKA hatte sich die Pegasus-Spyware beschafft und im März vergangenen Jahres gegen Terroristen und das organisierte Verbrechen eingesetzt.

Auch mit iOS 15 hat Apple verschiedene neue Sicherheitsmechanismen implementiert, um das Eindringen von möglicher Spyware auf dem iPhone zu verhindern. Man kann allerdings davon ausgehen, dass man auch bei der NSO Group in der Zwischenzeit nicht untätig gewesen ist und nach weiteren Lücken gesucht hat. Ivan Krsti?, Head of Apple Security Engineering and Architecture erklärt:

"Bei Apple arbeiten wir kontinuierlich daran, unsere Nutzern selbst vor den komplexesten Cyberangriffen zu schützen. Die Schritte, die wir heute unternehmen, senden eine klare Botschaft aus: In einer freien Gesellschaft ist es inakzeptabel, mächtige staatlich geförderte Spionagesoftware gegen diejenigen einzusetzen, die die Welt verbessern wollen. Unsere Teams zur Erkennung und Entwicklung von Maßnahmen gegen Cyberangriffe arbeiten rund um die Uhr daran, neue Bedrohungen zu analysieren, Schwachstellen schnell zu beheben und branchenführende neue Schutzmechanismen für unsere Software und unsere Chips zu entwickeln. Die Sicherheitstechnologien von Apple gehören zu den am weitest entwickelten auf der ganzen Welt, und wir werden weiterhin unermüdlich daran arbeiten, unsere Nutzer vor Missbrauch durch staatlich geförderte Akteure wie die NSO Group zu schützen."

Zusätzlich zu der eingereichten Klage hat Apple angekündigt, zehn Millionen US-Dollar sowie den etwaigen Schadenersatz aus der Klage gegen die NSO Group an Organisationen zu spenden, die sich mit der Erforschung von und dem Schutz vor Cyberüberwachung beschäftigen. Außerdem wird man auch weiterhin die Forscher des Citizen Labs, einer Forschungsgruppe an der Universität Toronto, die die FORCEDENTRY-Lücke entdeckt hatte, mit kostenloser Technik, bei der Aufklärung von Bedrohungsszenarien sowie mit technischer Hilfe bei ihrer unabhängigen Forschungsarbeit unterstützen und gegebenenfalls anderen Organisationen, die in diesem Bereich wichtige Arbeit leisten, dieselbe Unterstützung anbieten.

Die aktuell im Zusammenhang mit Apples AirTags entdeckte Schwachstelle zeigt mir einmal mehr, dass ich nicht als Hacker tauge. Auf eine solche Idee, wie sie aktuell von den Sicherheitsexperten von KrebsOnSecurity präsentiert wird, wäre ich nämlich im Leben nicht gekommen. Für den Fall, dass man einen AirTag verliert und dieser von einem ehrlichen Mitmenschen gefunden wird, hat dieser die Möglichkeit, den AirTag mit seinem iPhone zu scannen, woraufhin er auf eine speziell generierte URL geleitet wird, auf der der Besitzer ihm Kontaktinformationen wie eine Telefonnummer oder eine E-Mail Adresse bereitstellen kann. Diese Webseite ist der Einfachheit halber nicht mit irgendwelchen Zugangsdaten geschützt.

Laut KrebsOnSecurity kann ein Angreifer allerdings Schadcode in die erzeugte Webseite einschleusen, so dass diese sich quasi als gefakte iCloud-Webseite präsentiert, auf der der Finder dann dazu verleitet sein könnte, seine Zugangsdaten einzugeben, die dann wiederum von dem Angreifer ausgelesen werden können. Im Prinzip also eine Art Fishing-Angriff. Entdeckt hat diese Möglichkeit der Sicherheitsforscher Bobby Raunch, der Apple auch bereits am 20. Juni auf das Problem aufmerksam gemacht hat. In der Vergangenheit meldete sich das Unternehmen dann bei Rauch und erklärte, dass man das Problem mit einem kommenden Softwareupdate beheben werde. In der Zwischenzeit wurde der Sicherheitsforscher gebeten, die entdeckte Lücke nicht öffentlich zu machen.

Nachdem Rauch bei Apple nachfragte, ob ihm durch die Meldung über das "Bug Bounty Program" eine Belohnung zustehe, hörte er bislang nichts weiter aus Cupertino, weswegen er die Lücke nun doch öffentlich machte:

"I told them, 'I'm willing to work with you if you can provide some details of when you plan on remediating this, and whether there would be any recognition or bug bounty payout. Their response was basically, 'We'd appreciate it if you didn't leak this.'"

Damit ist die Lücke der nächste Fall von öffentlich gewordenen Sicherheitsproblemen in Apple-Systemen in den vergangenen Wochen. In der Szene regt sich zunehmend Unmut gegenüber Apple, der sich vor allem an der mangelhaften Kommunikation und der langsamen Reaktion im Rahmen des "Bug Bounty Programs" festmacht.

Bereits kurz nach der Veröffentlichung von iOS 15 meldete sich der Sicherheitsforscher Denis Tokarev zu Wort und kritisierte Apple dafür, dass man gleich mehrere sogenannte "Zero-Day" Sicherheitslücken unbearbeitet ließ, die Tokarev an das Unternehmen gemeldet hatte. Dem Sicherheitsforscher zufolge hatte er dies bereits vor Monaten getan und sei von Apple dafür konsequent ignoriert worden. Nachdem er die Lücken nun öffentlich gemacht hat, hat sich Apple doch noch bei ihm gemeldet, wie er den Kollegen von Motherboard verriet. Offenbar braucht es inzwischen immer erst eine gewisse mediale Aufmerksamkeit ehe man sich in Cupertino rührt. In einer Mail an Tokarev entschuldigt sich Apple für die ausgebliebene Kommunikation und erklärt, dass man die Probleme noch immer untersuche.

"We saw your blog post regarding this issue and your other reports. We apologize for the delay in responding to you. We want to let you know that we are still investigating these issues and how we can address them to protect customers. Thank you again for taking the time to report these issues to us, we appreciate your assistance. Please let us know if you have any questions."

Unter anderem besteht nach wie vor eine Sicherheitslücke im Zusammenhang mit Game Center in iOS 15, durch die eine installierte App auf die komplette Apple ID, den Namen, die Kontakte und weitere Inhalte auf dem Gerät Zugriff erlangen kann. Da sich Apple auf seine Hinweise hin nicht rührte, hatte Tokarev die Lücken öffentlich gemacht. Die Meldungen zu den entdeckten Bugs hatte er dabei bereits zwischen März und Mai bei Apple eingereicht, so dass man dort Monate Zeit hatte, sich um die Behebung zu kümmern. Zugegebenermaßen sind die Lücken allerdings nicht unmittelbar kritisch, da gleich mehrere Voraussetzung für ihre Ausnutzung erfüllt sein müssen.